TE信貸資料庫涉收$2任財務公司查閱借款人資料5日 私隱署促糾正
個人資料私隱專員公署今日(1日)發表《調查報告:未經授權查閱 TE 信貸資料庫的信貸資料》,發現營運公司軟媒科技在保障個人資料,而採取的保安措施,及保留信貸資料的時限方面存在不足,財務公司可以在沒有借款人授權下,在資料庫查閱借款人的信貸紀錄,做法違涉反私隱條例。
公署昨日(5月31日)已向軟媒科技發出執行通知,指示軟媒科技糾正其違反事項,包括制定政策核實財務公司查閱時,已取得借款人的授權書。軟媒科技須於三個月內︶向專員提供文件,證明已完成指示。
個人資料私隱專員公署發表《調查報告:未經授權查閱 TE 信貸資料庫的信貸資料》,發現該資料庫營運公司軟媒科技,在保障個人資料所採取的保安措施,及保留信貸資料的時限方面,存在三項不足,包括:
1/未有採取適當的措施防止個人信貸資料受到不當查閱、處理或使用
2/薄弱的密碼管理
3/逾期保留已完成還款超過五年的信貸紀錄
有財務公司七日三次私下查閱投訴人信貸資料
私隱專員鍾麗玲指,事件源於一名投訴人2021年12月接獲相熟財務公司通知,指其 TE 信貸資料庫内的信貸資料,被八間他不認識的財務公司多次查閱,其中一間更七日內查閱三次。投訴人遂向私隱專員公署投訴 TE 信貸資料庫沒有足夠保安措施保障他的個人資料。
在調查期間,TE信貸資料庫營運公司軟媒科技曾稱,因與財務公司簽訂協議書,假定這些公司都會遵守使用目的,也不會審查這些財務公司是否有借款人的同意及授權書。鍾麗玲指,這種情況下,財務公司可以在沒有借款人同意下,向資料庫繳付2元,便可於五日內無限次查閱同一借款人的信貸資料。
署方也向八間曾查閱投訴人信貸資料的財務公司,了解為何未能出示借貸人授權書,其中三間公司稱,因投訴人最近曾查詢貸款;另有三間則稱投訴人以往曾申請貸款。
軟媒科技在2021年至2023年3月,有66宗涉被不明公司查詢資料的投訴,有近九成調查後投訴成立。鍾麗玲續指,據資料庫的懲罰準則,要有五次違規才會永久終止使用權限。她直言懲罰有欠阻嚇性,而違規更是要靠借款人投訴,軟媒科技才會知道。
鍾麗玲:軟媒科技違反私隱條例
鍾麗玲表明,相關的營運及做法有違反私隱條例,遺憾營運商軟媒科技沒採取適當保安措施。她又指,相關資料庫現時不受行業守則規管,也不受金融行業相關法例規定,情況不理想,建議任何信貸資料庫的營運及管理應受規範或監管。鍾麗玲表示,因應今次調查發現的情況,署方正考慮對類似的信貸資料庫進行排查。
調查也發現,軟媒科技並沒有因應相關資料的數量及性質,而採用強密碼政策;亦沒有為密碼設定有效期。公署指,相關密碼的設置並不符合網絡安全的基本要求,顯示軟媒科技在個人資料的保安方面明顯不足。
未刪除已還款逾五年的信貸紀錄
另外,軟媒科技現時仍然保留五萬多宗已完成還款超過五年的信貸紀錄。鍾麗玲指,這屬不必要的逾期保留,除漠視私隱條例的規定外,亦增加了相關借款人個人資料外洩的風險。鍾麗玲也建議借款人主動查閱自己的借貸紀錄,如已完成還款逾5年發現平台仍保留紀錄,借貸人應要求相關平台刪除。
公署昨日(5月31日)已向軟媒科技發出執行通知,指示糾正其違反事項,包括刪除完成還款已滿五年的信貸資料、制定政策以核實財務公司查閱時,已取得借款人的授權書等,以及防止同類違反的行為再發生。軟媒科技須於三個月內向專員提供文件,證明已完成指示。如相關公司未有完成指示,署方會提出刑事檢控。